fix: prepare writable codex home for runner jobs
This commit is contained in:
@@ -52,9 +52,10 @@
|
||||
| Kubernetes Secret | `agentrun-v01/agentrun-v01-provider-codex` |
|
||||
| Secret key | `auth.json`,来自 `~/.codex/auth.json` |
|
||||
| Secret key | `config.toml`,来自 `~/.codex/config.toml` |
|
||||
| Projection path | runner/backend 容器用户的 `~/.codex/auth.json`、`~/.codex/config.toml` |
|
||||
| Projection path | 只读 Secret projection 挂到 `/var/run/agentrun/secrets/<profile>-<index>/auth.json` 和 `config.toml`;该路径只作为 credential source。 |
|
||||
| Runtime config path | runner 启动时把授权的 Secret projection 复制到 writable `CODEX_HOME`,默认 `/home/agentrun/.codex/auth.json` 和 `config.toml`。 |
|
||||
| Projection mode | 只读,建议 `0400` 或等价最小权限 |
|
||||
| Runtime env | 如 backend 需要,可设置 `HOME` 或等价 Codex config root 指向投影后的 home;不得 fallback 到节点宿主机 home。 |
|
||||
| Runtime env | `HOME=/home/agentrun`,`CODEX_HOME=/home/agentrun/.codex`,`AGENTRUN_CODEX_SECRET_HOME=<projection path>`;不得 fallback 到节点宿主机 home。 |
|
||||
|
||||
Secret 创建和轮换必须通过 Kubernetes 密钥管理完成。`deploy/deploy.json` 只写 SecretRef 名称、key 和 mount intent;`v0.1-gitops` rendered manifests 只引用 Secret,不包含 Secret data。
|
||||
|
||||
@@ -84,7 +85,8 @@ Run 的 `executionPolicy.secretScope` 只能包含引用,不包含值。示例
|
||||
- `allowCredentialEcho` 必须固定为 `false`。
|
||||
- `secretRef.namespace` 默认只能是 run 所在 lane namespace 或明确批准的 platform namespace。
|
||||
- manager 可以保存 `secretRef`,但不得读取 Secret 值后存库。
|
||||
- runner/backend adapter 获得 Secret 的方式必须来自 Kubernetes env/file projection 或受限 Secret API 读取;Codex 默认使用文件 projection 到 `~/.codex/auth.json` 和 `~/.codex/config.toml`,不得通过 run payload、event、CLI 参数或日志传递。
|
||||
- runner/backend adapter 获得 Secret 的方式必须来自 Kubernetes env/file projection 或受限 Secret API 读取;Codex 默认从只读 Secret projection 复制 `auth.json` 和 `config.toml` 到 writable `CODEX_HOME` 后启动 app-server,不得通过 run payload、event、CLI 参数或日志传递。
|
||||
- Secret projection 不能直接作为 `CODEX_HOME`。Codex app-server 会读取并可能维护默认配置、PATH 或运行态文件;把只读 Secret volume 直接挂到 `CODEX_HOME` 会造成启动期写入失败。v0.1 的固定边界是:Secret volume 只读、`/home/agentrun` 由 `emptyDir` 提供可写 runtime home、复制动作只发生在 runner/backend 容器内且不打印文件内容。
|
||||
- SecretRef 不存在或 RBAC 不允许时,run 必须失败为结构化 `failureKind=secret-unavailable` 或等价错误,不得降级成无凭证重试风暴。
|
||||
|
||||
## 分发路径
|
||||
@@ -102,6 +104,7 @@ Kubernetes Secret
|
||||
-> created from ~/.codex/auth.json and ~/.codex/config.toml by operator or approved secret-management flow
|
||||
runner/backend Pod
|
||||
-> receives Codex auth/config via read-only file projection
|
||||
-> copies authorized files into writable CODEX_HOME before starting Codex app-server
|
||||
```
|
||||
|
||||
Secret 创建和轮换不由 source branch 自动生成;source branch 只声明需要哪个 SecretRef。后续如果接入 External Secrets、Vault、SealedSecrets 或 SOPS,必须新增或更新本 spec,明确 controller、source of truth、rotation 和 redaction 规则。
|
||||
@@ -140,7 +143,7 @@ bun scripts/agentrun-cli.ts secrets codex render --dry-run
|
||||
|
||||
### T2 Runner credential projection
|
||||
|
||||
阅读本文,然后启动一个最小 backend runner dry-run,确认 Pod file projection 能看到 `~/.codex/auth.json` 和 `~/.codex/config.toml`,但 event、日志和 CLI 输出只显示 redacted credential source,不显示文件内容。
|
||||
阅读本文,然后启动一个最小 backend runner dry-run,确认 Pod file projection 挂在 `/var/run/agentrun/secrets/...` 且只读,`/home/agentrun` 是 writable runtime home,`CODEX_HOME=/home/agentrun/.codex`,runner/backend 会把授权文件复制到 `CODEX_HOME` 后再启动 Codex;event、日志和 CLI 输出只显示 redacted credential source,不显示文件内容。
|
||||
|
||||
### T3 Missing secret failure
|
||||
|
||||
@@ -151,7 +154,7 @@ bun scripts/agentrun-cli.ts secrets codex render --dry-run
|
||||
| 规格项 | 状态 | 说明 |
|
||||
| --- | --- | --- |
|
||||
| Secret 分发规格 | 已定义 | 本文为 v0.1 provider credential 分发权威。 |
|
||||
| Kubernetes SecretRef 注入 | 部分实现 | runner Job dry-run 和正式 Job 创建路径已按 run `executionPolicy.secretScope.providerCredentials` 生成 Secret volume projection 和 `CODEX_HOME`;真实 Secret 与 Codex turn 仍需综合联调验收。 |
|
||||
| Kubernetes SecretRef 注入 | 部分实现 | runner Job dry-run 和正式 Job 创建路径已按 run `executionPolicy.secretScope.providerCredentials` 生成 Secret volume projection、writable runtime home 和 `AGENTRUN_CODEX_SECRET_HOME`;真实 Secret 与 Codex turn 仍需综合联调验收。 |
|
||||
| Codex Secret dry-run 工具 | 已实现 | `bun scripts/agentrun-cli.ts secrets codex render --dry-run` 只输出 Secret 创建计划、hash 和 redacted manifest 摘要,不执行 apply。 |
|
||||
| Codex auth/config file projection | 部分实现 | backend readiness 检查 `auth.json`/`config.toml` 可读性,缺失时返回 `secret-unavailable`;self-test 使用临时文件模拟投影。 |
|
||||
| redaction 最小规则 | 部分实现 | Secret dry-run 工具、event、Job dry-run 输出和 self-test 已验证不打印测试 token;复杂审计仍待后续补齐。 |
|
||||
|
||||
Reference in New Issue
Block a user